发布时间:2013-11-16
点击量:4405
应用场景:
此方案适用于无802.1X认证的环境,用户IP地址为静态分配的场景。管理员不需要知道每个用户连接在交换具体哪个端口下的,特别适用于客户对网络的互联端口,用户分布情况不清楚,或者下联用户PC存在随意移动端口的场景中。
优点:控制较为严格,但比端口安全的控制力度较弱,因为其地址不绑定到端口。应用硬件方式直接校验ARP报文,准确,无需消耗CPU。
缺点:必须一一配置并收集所有用户IP和MAC,配置较为繁杂,但比端口安全灵活,不需要确认IP对应的端口,适合于用户在本交换机端口灵活迁移
的需求场景。
功能原理:
全局IP&MAC绑定+ ARP-check方案:通过全局IP+MAC绑定(address-bind)功能将用户正确的IP与MAC写入交换机的硬件表项,使用ARP-check功能校验ARP报文的正确性。如果合法用户的信息漏绑定了,或者是非法的IP,MAC接入网络,ARP校验都将失败,这样的用户将无法使用网络。
文档评价
_b519551283d64dc48691c275c7325211.webp "RG-AM5552-SF(V2)全光智分+主机")
_6e8c38b04c704f679e07b61f63953282.webp "RG-AM5528(ES)智分+主机")
